ランサムウェア

暗号化ランサムウェア

最も一般的な種類である。攻撃者は感染させたコンピュータ内のファイル（文書、写真、動画など）を暗号化し、使用不可能な状態にする。ファイルの復号に必要な鍵と引き換えに金銭を要求する^[14]。

非暗号化ランサムウェア（画面ロック型）

ファイルを暗号化する代わりに、コンピュータの画面をロックして操作不能にする種類である。「あなたのPCは違法な活動に使用されました」といった偽の警告画面などを表示し、ロックの解除と引き換えに支払いを要求する。ファイル自体は暗号化されていないことが多いが、コンピュータが使用不能となる^[14]。ロッカーランサムウェアともいわれる^[14]。

ノーウェアランサム

身代金を要求するものの、データを暗号化せず窃取のみを行い、データを公表しない代わりに金銭などの対価を要求する手口^[15]。「令和５年上半期におけるサイバー空間をめぐる脅威の情勢等について」において警視庁が定義した^[16]。実体としてはリークウェアと同様の動きをするものであり、海外ではリークウェアとして分類されるか、「Encryption-less Ransomware」などと称される^[17]。

MBR（マスターブートレコード）破壊型ランサムウェア

コンピュータの起動プロセスを標的とする種類である。個別のファイルを暗号化するのではなく、OSの起動に不可欠な「MBR（マスターブートレコード）」領域を暗号化または破壊する。これに感染するとOS自体が起動しなくなり、コンピュータが完全に使用不能となる。脅迫メッセージはコンピュータの起動時に表示される。代表的なものとして「Petya」が知られる^[18]。

リークウェア / ドクスウェア

「暴露型」とも呼ばれ、データの暗号化よりも情報の暴露を主な脅迫手段とする種類である。データを暗号化せずに窃取するだけのケースもある。「身代金を支払わなければ、窃取した個人情報や企業の機密情報をインターネット上に公開する」と脅迫する。被害組織にとっては、事業継続性の問題だけでなく、社会的信用の失墜にも繋がる深刻な脅威となる^[19]。

RaaS (Ransomware as a Service)

特定のランサムウェアの名称ではなく、攻撃のビジネスモデルを指す用語である。ランサムウェアを開発するグループが、SaaS（Software as a Service）のように、攻撃を実行したい技術力のない依頼主や攻撃したい人間へランサムウェアのプログラムや攻撃インフラをサービスとして提供するモデルを指す。専門知識を持たない攻撃者でも容易にランサムウェア攻撃を実行できるため、被害が世界的に拡大する一因となっている。開発者は、サービスの利用料や、アフィリエイトが得た身代金の一部を収益として受け取る^[20]。

単一脅迫

最も基本的な手口であり、暗号化したファイルの復号のみを条件に身代金を要求する^[21]。

二重脅迫 (Double Extortion)

ファイルを暗号化するだけでなく、事前に窃取した機密情報や個人情報を、ダークウェブ上のリークサイトに「公開する」と脅迫する。被害者がバックアップからデータを復元できたとしても、情報漏洩を防ぐために支払いを迫られることになるため二重脅迫という。2019年後半からこの方法が見られるようになった。これは、暗号化と共に情報の公開も恐喝する手法である。EU一般データ保護規則 (GDPR) の制裁金よりは安いとして、個人情報流出に対する企業へのペナルティを利用している様子も見られる^[22]。

三重脅迫 (Triple Extortion)

二重脅迫の手口に加え、窃取した情報を利用して被害組織の顧客や取引先へ直接連絡したり、ウェブサイトへDDoS攻撃を仕掛けたりして、さらなる圧力を加える^[23][24]。

四重脅迫 (Quadruple Extortion)

三重脅迫に加えて、被害組織の関係者（従業員やその家族など）に直接連絡を取り、嫌がらせや脅迫を行う。これにより、金銭的・社会的な圧力だけでなく、精神的にも被害者を追い詰める^[24]。

バックアップ

例えランサムウェアに乗っ取られても、物理的・論理的に遮断されたストレージデバイス（例：取り外し可能な補助記憶装置）に、コンピュータデータのバックアップを保存して、乗っ取られたコンピュータを完全初期化することによって、少なくともバックアップ時点の状態には復元することができる^[26]。

バックアップの設計は「3-2-1ルール」に則るのが有効である。具体的には、「3つ」のデータコピーを保持し、「2つ」の異なる媒体に保存し、「1つ」を物理的に離れた場所（オフライン）に保管するというルールである。このルールは、ランサムウェア攻撃だけでなく、災害などのさまざまな障害からデータを守るのに役立つ。

さらに、ランサムウェア対策としては3-2-1ルールを拡張した「3-2-1-1-0ルール」の採用が推奨されている。追加された1つルールでは、イミュータブルバックアップやオフラインコピーが推奨されている。

ただし、侵入の為に把握した通信経路や通信機器の改変を受けている可能性があるため、被害の度合いによってはシステム構築から一新する必要もあり、被害を受けた際の迅速な手配や運用策をあらかじめ講じることが求められる。

身代金の支払いへの抵抗

身代金を支払わない選択を徹底することで、ターゲットから外されるという見解がある^[27]。

復号の試み

身代金を支払うこと無く暗号化されたファイルを復号するツールの開発が行われている^[28]。警視庁ではランサムウェアグループの「8Base」が利用する「Phobos」の復号ツールを公開している^[29]。

暗号化ランサムウェア

初めて存在が知られたランサムウェアは、1989年にジョセフ・ポップによって作られた「AIDS Trojan（英語版）」というトロイの木馬（「PC Cyborg」という名称でも知られている）である。

そのペイロードは、ソフトウェアの特定部分を使用するライセンスの有効期限が切れていると主張し、ハードディスクドライブのファイル名を暗号化し、制限を解除するには「PC Cyborg Corporation」に189米ドルを支払う必要があると利用者に主張する。ポップは自身の行為を裁判で精神異常であると宣告されたが、彼はマルウェアで上げた利益をエイズの研究資金に使うと約束した^[30]。このような攻撃に公開鍵暗号を用いる概念は、1996年にアダム・L・ヤングとモチ・ユング（英語版）によって紹介された。

AIDS Trojanは共通鍵暗号だけを使用していてプログラムから鍵が取り出せたために効果的ではなかったので、RSA暗号とTiny Encryption Algorithm(TEA暗号)（英語版）を使ったMacintosh SE/30向けの概念証明型ウイルスが作成された。ヤングとユングは、この顕在的な攻撃を「暗号化ウイルス恐喝 (cryptoviral extortion)」と呼んだ。また、これは「暗号ウイルス学（英語版）」と呼ばれる分野における、顕在的と潜在的な攻撃の両方を含むクラスの攻撃のひとつであると言及した^[31]。

猛威を振るったランサムウェアの例は、2005年5月に顕著になった^[32]。 2006年中頃には、Gpcode（英語版）、TROJ.RANSOM.A、Archiveus（英語版）、Krotten、Cryzip、MayArchiveなどのプログラムが、より巧妙なRSA暗号を活用し、鍵の長さを増やし続けた。2006年6月に検出されたGpcode.AGは、660ビットのRSA公開鍵で暗号化を行った^[33]。

2008年6月には、Gpcode.AKとして知られる変種が検出された。1,024ビットのRSA鍵を用い、それは分散コンピューティングの力を借りなければ、計算時間の面から見て打破し得ないほど長い鍵だと考えられている^{[34][35][36][37]}。

2014年にはNASを標的としたランサムウェア「SynoLocker」が確認され、古い版のまま更新されていないSynology製NASのOS「Synology DSM」に攻撃が広がっているとして、エフセキュア社が注意を喚起している^[38]。

また、日本では0Chiakiという人物が開発したとされるTorLockerの亜種KRSWLocker（通称カランサムウェア）が発見され「新経済サミット2015」において紹介された^[39][40]。

非暗号化ランサムウェア

2010年8月に、ロシア当局はWinLockとして知られるランサムウェアワームに接続した10名を逮捕した。前述したGpcodeとは異なり、WinLockは暗号化を行わない。その代わり、単にポルノ画像を表示してシステムへのアクセスを制限する。それから制限を解除するコードを受け取るため、利用者に有料SMS（およそ10米ドル）を送るかどうか尋ねる。この詐欺は、ロシアと周辺諸国に多数発生した。犯行グループは、1600万米ドルを稼いだと報じられている^[10][41]。

2011年には、利用者に「詐欺の被害者」となったので、Windowsを再活性化する必要があると通知する、マイクロソフトライセンス認証を模倣するランサムウェアワームが発生した。このプログラムはオンラインでの活性化を提示するがそれは不可能であり、利用者に数字6桁のコードを知るため、6種類提示される国際電話番号のうち、1種へ電話するよう要求する。このマルウェアは通話が無料であると主張するが、国際電話料金が高額な国の不正なオペレータを経由し、巨額の長距離電話料金を発生させる^[42]。

2013年2月には、Stamp.EKエクスプロイトキットに基づいたランサムウェアワームが発生した。このマルウェアはプロジェクトホスティングサービスのSourceForgeとGitHubを通じて配布され、有名人の「偽のヌード写真」を提供すると主張する^[43]。2013年7月には、OS Xに特化したランサムウェアワームが発生した。これは、利用者がポルノグラフィをダウンロードしたと告発するウェブページを表示する。ウィンドウズベースの類似品と違い、コンピュータの動作全体は阻害しないが、単に普通の方法でページを閉じるのを諦めさせるため、ウェブブラウザの動作を利用する^[44]。

2013年7月には、バージニア州出身の21歳の男性がランサムウェアを受け取った後に警察へ出頭した。彼は児童ポルノを所持していると告発する、偽のFBIからの警告を受けていた。捜査の後に、本当に彼のコンピュータから未成年の女性の写真と、彼女たちと不適切なやりとりをしたことが発見され、彼は児童ポルノの所持と児童性的虐待の罪で告発された^[45]。

身代金支払いの合法性

日本ハッカー協会の杉浦隆幸は、「ハッカーは反社やテロリストではないので、身代金を支払うこと自体は違法行為ではない」としており、世界的にも支払う例が多い。日本のテロ資金提供処罰法はハッカー集団を対象としていないため国内では違法とされないが、アメリカではハッカー集団を対象に含む処罰法があり、日本の企業も制裁対象となる^[46]。

ウィザード・スパイダーなど各国の警察当局から犯罪グループとして認識されている集団もあり、このような相手に支払った事実が公表されると社会的な信用を失うというリスクもある^[46]。

被害の増加とターゲットの選別

2021年、独立行政法人情報処理推進機構（IPA）が毎年公表している「情報セキュリティ10大脅威」の組織部門において、ランサムウェアによる被害が1位となった^[47]。サイバーセキュリティ会社CrowdStrikeが行っている「2020年度版グローバルセキュリティ意識調査」においても、最初の話題として出てくるほどで、日本の組織の半数以上（52%）がランサムウェアの被害にあったと回答するなど、ランサムウェア攻撃の被害と件数が増加していることが示唆されている^[48]。

ランサムウェアが登場した初期では、攻撃の対象は一般ユーザーだった。しかし、2015年ごろからは多くの身代金を得ることを期待できる大企業を対象とするようになった。2017年に蔓延したWannaCryは、さらに多くの民間企業と公的機関を攻撃し、国家に対する脅威と呼べるほどの存在となった^[49]。

2023年の調査では、主要15カ国の中で日本だけ被害が減少していることが確認された^[27]。これは日本企業の多くが災害を警戒してデータのバックアップを徹底している、反社会勢力への利益供与を行わない方針の浸透、身代金がサイバー犯罪保険では保証されないなどの理由で身代金を支払わない選択を続けていることから、犯行側が割に合わないと判断しターゲットとして選ばれなくなったという見方がある^[27]。一方でセキュリティに欠陥があり、支払い余力がある大企業を狙った攻撃は行われている。

支払いを拒否して復旧を行った対象に対し、再攻撃により支払いを強要するか諦めて別な攻撃対象を探すという選択は対費用効果を勘案して決定される^[5]。

Reveton

2012年、Revetonの名で知られる有名なランサムウェアが拡散し始めた。Citadelトロイをベースとし（それ自身はZeus（英語版）を基にしている）、そのペイロードは警察を自称した警告を表示し（このことから「警察トロイ」のニックネームが付いた）、海賊版ソフトや児童ポルノをダウンロードしたなどの違法行為にコンピュータが使われたと主張する^[50]。このプログラムの発する警告は、利用者にシステムロックを解除するにはUkashやPaysafecardなどの匿名プリペイドキャッシュサービスによる金券を使い、罰金を払う必要があると通知するものである。コンピュータが警察に探知されているという錯覚を強めるために、スクリーンにIPアドレスも表示し、利用者に記録されているという錯覚を与えるためにコンピュータのWebカメラの映像をいくつか表示する^[1][51]。

Revetonは当初、2012年初期に多数のヨーロッパ諸国で拡散した^[1]。変種は利用者の居住国に基づいて、異なる警察組織のロゴをつけたテンプレートで地域化されていた。例えば、イギリスで使われた変種はロンドン警視庁、著作権管理団体のPRS for Music（英語版）（特に違法な音楽をダウンロードしたと利用者を告発した）、Police Central e-Crime Unit（英語版）のような組織の標記を用いた^[52]。ロンドン警視庁は、一般人にこのマルウェアに関して注意を促す声明を出し、調査の一環でコンピュータをロックすることはないことを明確にした^[1][9]。当局は、児童ポルノをダウンロードまたはアップロードしているという容疑があるとき、その容疑者が逃げたり証拠を処分したりする時間を与えるような警告をすることはない。

2012年5月には、トレンドマイクロの研究者がアメリカとカナダ向けの変種のテンプレートを発見した。それは、変種の作者が北米の利用者を標的とする計画のおそれについて示唆していた^[53]。2012年8月には、新しいRevetonの変種がアメリカで拡散し始めた。これはGreen Dot Corporation（英語版）カードを使って200米ドルの罰金を払う必要があると主張するものである^[2][3][51]。

CryptoLocker

2013年に、暗号化ランサムウェアは「CryptoLocker」として知られるワームと共に再出現した。CryptoLockerは悪意あるEメールの添付ファイルか、ドライブバイダウンロードによって配布される。

最初はC&Cサーバに接続を試み、その後2,048ビットのRSA公開鍵と秘密鍵のペアを生成し、その鍵をサーバにアップロードする。その時、このマルウェアは、利用者が2,048ビットのRSA鍵でアクセスできるすべてのローカルまたはネットワークストレージドライブにあるデータを暗号化しようとし、標的となるファイルをホワイトリストまたは拡張子で検出する。公開鍵がコンピュータに保存されたとき、秘密鍵はC&Cサーバに保存される。

CryptoLockerは、利用者が鍵を取り戻してファイルを復号するには、MoneyPakカードかビットコインを使って支払いをするよう要求し、3日以内に支払いがなければ秘密鍵を削除すると脅す。極めて大きなサイズの鍵が使われているために、アナリストはCryptoLockerに侵されたコンピュータを修復することはきわめて難しいと考えている^{[54][55][56][57]}。

2014年6月2日にアメリカ合衆国司法省によって正式に公表されたように、CryptoLockerは、Gameover ZeuSボットネットの差し押さえによって隔離された。

CryptoLocker.FとTorrentLocker

2014年9月、新種のランサムウェアがオーストラリアを襲った。 （「CryptoLocker」という名前を冠しているが、オリジナル版とは関係がない。） 「CryptoLocker.F」の命名は、シマンテックによるものである。 オーストラリア郵便公社からの宅配便の不在票を偽った電子メールによって広がった。 利用者に、あるWebサイトを閲覧させて、CAPTCHAコードを入力させる。 被害者には著名なところではオーストラリア放送協会が含まれていた^[58]。

この時期、別のトロイの木馬「TorrentLocker（英語版）」は、同一の暗号鍵を全てのコンピュータに使っていたという設計上の欠陥のために対処できたが、後にこの欠陥は解消されてしまった^[59]。

Cryptowall

2014年に、Cryptowallの最初の版 (1.0) が出現した。 Windowsコンピュータを標的としている。 2014年9月、広告配信ネットワークを悪用するキャンペーンの一環で配られてしまった。 信頼できるソフトウェアを装うためにデジタル署名が付されている^[60]。 Cryptowall 3.0は、電子メール添付ファイルの一部にJavaScriptで書かれたペイロードを利用しており、これはJPEG画像ファイルを装った実行ファイルをダウンロードする（ドライブバイダウンロード）。 検知を避けながらサーバと通信するために、explorer.exeとsvchost.exeの新しいインスタンスを生成する。 ファイルを暗号化する際に、ボリューム中のシャドウコピーを削除し、パスワードとビットコインのウォレットを盗むスパイウェアをインストールする。

2015年11月に登場したCryptowall 4.0においては、セキュリティソフトウェアに検出されにくくする機能が大幅に強化されたほか、ファイルの内容だけでなくファイル名まで暗号化するようになった^{[61] [62]}。

KRSWLocker

2014年に発見された、初めて日本のユーザーを標的としたランサムウェア^[63][64]。

Petya

2016年3月に初確認されたランサムウェア。

KeRanger

2016年3月に出現したKeRangerは、macOS オペレーティングシステム上の最初のマルウェアかつランサムウェアである^[65]。

これはMacユーザのファイルを暗号化し、次に、そのファイルを復号するためにビットコインを要求する。実行ファイルは、リッチテキストファイル（.rtf）に偽装した .dmg 中にある。このマルウェアは3日間休眠した後、ファイルを暗号化し始め、どのようにファイルを復号するかについて指示するテキスト文書を加える。

このマルウェアは、暗号化するために2048 bitのRSA公開鍵を使う。実際には、Linuxの「Linux.Encoder.1」のコピーである。

RSA4096

WannaCry

2017年5月13日に出現した WannaCry/Wcry（泣きたくなる）という、世界中で猛威をふるっている、新種のランサムウェア亜種である。このコンピュータウイルスに感染すると、自分のパーソナルコンピュータ（Microsoft Windows）や、サーバに置いた大事なファイルが勝手に暗号化され、ユーザーがファイルを開けなくなる^[66]。

また、このランサムウェアは日本のマスメディアでも報道され、知名度の高いランサムウェアでもある。

GoldenEye

2017年6月、ウクライナを中心に世界各地に拡大した^[67]。ウクライナの国営電力会社やウクライナの首都キーウの国際空港に感染。チェルノブイリ原子力発電所の周辺でも、ウィンドウズ・システムを使う放射線センサーが作動しなくなったため、手動に切り替えた。

REvil

2019年4月に初確認されたランサムウェアを配布するサービスを行っているRaaS（サービスとしてのランサムウェア）のグループ。 JBSやKaseyaを攻撃した。

Conti

2020年5月に初確認された医療機関なども標的にするランサムウェア。

DarkSide

2020年8月に初確認された東欧を拠点とするサイバー犯罪を行う個人ないしはグループ。被害者の使用しているプログラムをランサムウェアを使用して暗号化して身代金を要求する恐喝を行う。アメリカ南東部にガソリンやジェット燃料を輸送し、東海岸が使用する燃料の45％を支えるパイプライン輸送を管理する会社コロニアル・パイプライン（英語版）のシステムがハッキングされた事件（コロニアル・パイプラインへのサイバー攻撃（英語版））に関与している。即座に身代金が支払われ復号プログラムが渡された。しかし、そのプログラムでは正常に機能せず、政府やセキュリティー会社などの協力で回復するまで業務に支障をきたす状態が続いた。結果として、6日間におよぶ業務停止となり、アメリカ東海岸では燃料不足問題が発生し、燃料価格が高騰した。各州が緊急事態宣言を発令、アメリカ大統領による非常事態宣言が出された^[68][69]。